敏态研发下，软件供应链安全实践

一、敏态研发下的软件供应链安全挑战

• 软件供应链资产依赖关系复杂、透明度低。在快速且频繁的软件版本更新的情况下，应用程序重用代码、软件包和第三方供应商销售的商业代码包的情况越来越普遍，并且开源组件占软件成分的绝大部分。
• 组件漏洞、组件后门和恶意篡改等供应链风险突出。软件产品从上游继承的软件漏洞及开源组件漏洞无法避免，同时，攻击者通过污染开发工具、劫持软件交付链路等方式控制上游软件供应链，在组件中植入恶意可执行代码快速传播至中下游用户。
• 外部法律法规和监管要求不断趋严。《网络安全法》、《关于规范金融业开源技术应用与发展的意见》、《网络安全等级保护基本要求》（GB/T 22239-2019）、《软件供应链安全要求（征求意见稿）》等法律法规和标准对企业供应链安全管控提出了更高的要求。

二、敏态研发下的软件供应链安全管理

1、完善软件供应链安全制度

2、建立资产动态管理视图

3、开展软件全生命周期风险识别

• 在合同约束方面，通过与供应商签订安全协议、合同等，要求供应商提供产品的物料清单和安全测评报告，明确供应链产品的安全性要求和供应商安全责任。
• 在安全审核方面，制定安全测评方案和审核指引，通过代码安全检测、已知漏洞检测、防病毒查杀等手段开展供应链产品引入前的安全审核、日常风险评估和治理工作，确保引入源头安全可靠。
• 在持续监测方面，根据威胁情报共享机制，主动监测外界披露的软件供应链后门和恶意镜像仓库情报，做好威胁情报预警。
• 在风险治理方面，根据威胁情报，制定基础平台和互联网应用优先治理的差异化策略，分批次有序开展供应链漏洞风险治理，并通过日常红蓝对抗、渗透测试和安全众测等手段，对已部署供应链产品及升级程序、组件和代码进行测评。

4、应用 DevSecOps 做好研运环节的管控

加强编码测试环节、构建环节和运营环节的管理安全评估，保障敏态研发模式各环节下，软件供应链产品的使用规范和组织管理。

• 在编码测试阶段，将交互式应用安全测试等工具对接代码仓库和镜像仓库，结合人工渗透提升安全测试的覆盖度和深度，准确识别安全缺陷及漏洞，监测应用程序中依赖的第三方软件的版本信息和公开漏洞。
• 在构建交付阶段，将源代码安全扫描工具等对接研发构建流水线，扫描研发过程中使用的软件类型和组件版本，生成构建包和容器镜像中应用所依赖的第三方组件风险，暴露软件制品内潜在的安全漏洞。
• 在运营阶段，结合主机安全扫描等能力实现漏洞与异常行为的及时监测和快速处置，通过运行时应用自我保护技术将防护能力与应用程序融为一体，精准识别应用实际运行中动态加载的第三方组件及依赖，挖掘组件中潜藏的各类安全漏洞及开源协议风险，实时检测和阻断供应链攻击。

三、总结

1000+研发团队的 BizDevOps 体系及平台是如何建设的？407GOPS2023深圳站，中国工商银行软件开发中心 DevOps 团队负责人带你亲自了解~